Adware ghokswa zarażonych ponad 3tyś plików. Logi do sprawdzenia


(drdala) #1

Witam
Mam taki problem. Zauważyłem, że laptop ma zainfekowaną przeglądarkę firefox.
Użyłem AdwCleaner bo zawsze sobie radził za takimi problemami.
Tym razem też sobie w jakimś sensie poradził bo przeglądarka doszła do widocznego porządku.
Ustawiłem stronę startową ręcznie, zmieniłem domyślną wyszukiwarkę i wizualnie wszystko było w porządku.
Postanowiłem jeszcze dla spokoju użyć malwarebytes.
Znalazł on ponad 3 tyś zainfekowanych plików głównie przez adware ghokswa.
Potwierdziłem dodaj wszystkie pliki do kwarantanny.
W momencie dodawania do kwarantanny avast wykrył jaką infekcję i stwierdził, że potrzebne będzie skanowanie podczas uruchamiania systemu. Również to potwierdziłem bo myślałem, że zrobi to przy następnym uruchomieniu.
Niestety okazało się, że od razu uruchomił system ponownie(podczas dodawania do kwarantanny plików przez malwarebytes) i zaczął skanować. Przerwałem to skanowanie przez ESC bo bardzo wolno szło. System jak uruchomił się to niestety uruchomił się na profilu tymczasowym. Czy jest możliwość powrotu do pierwotnego profilu? W malwarebytes kazałem przywrócić pliki z kwarantanny i miałem nadzieje, że wszystko wróci do normy. Niestety tak się nie stało. Więc ponownie przeskanowałem malwarebytes i kazałem ponownie dodać je do kwarantanny. System uruchamia się już chyba nie na profilu tymczasowym ale nie jest to też pierwotny profil. Inna tapeta… dużo mniej ikon na pulpicie. Co robić? Jak wrócić do pierwotnego profilu i jak wyleczyć komputer z wszystkich infekcji. Niżej wrzucam logi z adwcleaner, malwarebytes, frst, gmer. Proszę o pilną pomoc.
frst
https://wklej.to/C0Frv
addition
https://wklej.to/UR31s
shortcut
https://wklej.to/Xv3hV
gmer
https://wklej.to/cCaB2
adwcleaner
https://wklej.to/Ye3uK
malwarebytes
https://wklej.to/rqGgz
przed chwilą system pokazał komunikat:


(Acorus) #2

Odinstaluj amuleC,Java 7 Update 25,WinSnare.Otwórz notatnik systemowy i wklej:

CloseProcesses:
Hosts:
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289…\Policies\Explorer: []
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289…\MountPoints2: {2408d687-d935-11e5-beae-0c8bfd8c2912} - "D:\Startme.exe"
HKU\S-1-5-21-3178937606-276424082-2874363280-1002-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235405289…\MountPoints2: {c4e7d6ce-de2a-11e6-bed6-0c8bfd8c2912} - "D:\startme.exe"
ShellIconOverlayIdentifiers: [“DropboxExt1”] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt2”] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt3”] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt4”] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt5”] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt6”] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt7”] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
ShellIconOverlayIdentifiers: [“DropboxExt8”] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
URLSearchHook: [S-1-5-21-3178937606-276424082-2874363280-1001] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [S-1-5-21-3178937606-276424082-2874363280-1001-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02072017235403835] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKU.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HKLM…\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32…\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
S1 p1481544159am; ??\C:\Users\Monika\AppData\Local\Temp\bk4714.tmp\p1481544159am.sys [X] <==== UWAGA
S1 p1481709006am; ??\C:\Users\Monika\AppData\Local\Temp\bk5134.tmp\p1481709006am.sys [X] <==== UWAGA
S1 p1484818928am; ??\C:\Users\Monika\AppData\Local\Temp\bk1229.tmp\p1484818928am.sys [X] <==== UWAGA
S1 p1485335143am; ??\C:\Users\Monika\AppData\Local\Temp\bk44A7.tmp\p1485335143am.sys [X] <==== UWAGA
S1 p1485335232am; ??\C:\Users\Monika\AppData\Local\Temp\bk9CC5.tmp\p1485335232am.sys [X] <==== UWAGA
S1 p1485348521am; ??\C:\Users\Monika\AppData\Local\Temp\bk1E6C.tmp\p1485348521am.sys [X] <==== UWAGA
S1 p1485348591am; ??\C:\Users\Monika\AppData\Local\Temp\bk2E46.tmp\p1485348591am.sys [X] <==== UWAGA
S1 p1486112695am; ??\C:\Users\Monika\AppData\Local\Temp\bkCF8D.tmp\p1486112695am.sys [X] <==== UWAGA
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.


(drdala) #3

nie widzę czegoś takiego jak amuleC w dodaj usuń programy
Ominąć ten krok i robić resztę?


(Acorus) #4

Widocznie to tylko wpis.Pomiń to.


(drdala) #5

OK zrobiłem co dalej? Naprawa leci…
Wróci mi pierwotny profil?
Skanować czymś?


(Atis) #6

Przywróć system do czasu przed infekcją, to może odzyskasz stary profil.

[quote]Aby przywrócić komputer do stanu z wcześniejszego punktu w czasie

  1. Szybko przesuń od prawej krawędzi do środka ekranu, a następnie naciśnij panel Wyszukiwanie.
    (Jeśli używasz myszy, wskaż prawy górny róg ekranu, przesuń wskaźnik myszy w dół, a następnie kliknij panel Wyszukiwanie).
  2. W polu wyszukiwania wpisz tekst Panel sterowania, a następnie naciśnij lub kliknij pozycję Panel sterowania.
  3. W polu wyszukiwania Panelu sterowania wpisz tekst Odzyskiwanie, a następnie naciśnij lub kliknij pozycję Odzyskiwanie.
  4. Naciśnij lub kliknij pozycję Otwórz przywracanie systemu i postępuj zgodnie z wyświetlanymi instrukcjami. [/quote]
    https://support.microsoft.com/pl-pl/help/17085/windows-8-restore-refresh-reset-pc
    https://www.eightforums.com/tutorials/4692-system-restore-how-do-windows-8-a.html

(drdala) #7

Niestety jest tylko punkt przywracania z dzisiaj przed usunieciem javy i winsnare:(
Dlaczevo teraz sie zrobil punkt a jakichs wczesniejszych nie ma?
Zrobilem naprawianie frst i robi sie oni juz ze 3 h. Dlugo to jeszcze moze trwac?


(drdala) #8

Przerwalem naprawe frst poniewaz do tej pory trwala… nie moglem jej zamknac tylko musialem zarezymac z menadzera zadan
Co dalej robic?


(Acorus) #9

Spróbuj w trybie awaryjnym:


(drdala) #10

W między czasie na innym forum kazano mi w frst wykonać
HKU\S-1-5-21-3178937606-276424082-2874363280-1002.bak-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-02082017121406576…\Policies\Explorer: []
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [Brak pliku]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk
RemoveDirectory: C:\Program Files (x86)\WinZipper
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip
DeleteKey: HKU.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
Task: {093A4720-388C-442A-AB50-57E56FA03996} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
RemoveDirectory: C:\Program Files\COMODO
Task: {44856C34-05B3-4AB5-8D64-EC0E7F77CF2B} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {8F0D77E2-C832-4A97-B332-2B3D92388453} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {92900100-750B-4A7D-9333-C824F40AAF72} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {D99B603F-1B18-4D74-B309-205F9EF0664B} - System32\Tasks{31DDBD37-5DB7-4030-8064-10B0CAA806C3} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Task: {EF0254E6-DA58-436D-8CAD-3979B2A6313D} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
AlternateDataStreams: C:\WINDOWS\system32\davclnt.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\InkEd.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\msxml6.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\sysmain.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\tdh.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\tzsync.exe:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\UtcResources.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\davclnt.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\SysWOW64\InkEd.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml6.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\SysWOW64\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\SysWOW64\tdh.dll:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthpan.sys:$CmdTcID [64]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\btmhsf.sys:Microsoft_Appcompat_ReinstallUpgrade [0]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdBoot.sys:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdFilter.sys:$CmdTcID [130]
AlternateDataStreams: C:\WINDOWS\system32\Drivers\WdNisDrv.sys:$CmdTcID [130]
AlternateDataStreams: C:\Users\Monika\Downloads\Elica.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\Monika\Downloads\Elica.exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap(1).exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap(1).exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\Monika\Downloads\plytki_perlyceramiki2015_2etap.exe:$CmdZnID [26]
EmptyTemp:
i jakoś wszystko poszło.
potem jeszcze kosmetyka
S2 0072941486572699mcinstcleanup; C:\WINDOWS\TEMP\007294~1.EXE -cleanup -nolog [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{B2EFFD4E-D098-4845-9D56-DE75BEB35913}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{B2EFFD4E-D098-4845-9D56-DE75BEB35913}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip
komputer teraz podobno jest czysty
ale jak spróbować przywrócić poprzedni profil lub stworzyć podobny?
Niestety ani w raportach malwarebytes ani w avascie nic nie ma z dnia w którym zniknął mi profil pierwotny profil…
Co robić pomożcie


(drdala) #11

Podczas pierwszego skanu malwarebytes avast wykrył coś i zaproponował skanowanie przy starcie systemu
zaakceptowałem to i avast natychmiast podczas trwania skanu malwarebytes uruchomił ponownie komputer i zaczął robić skan…
niestety bardzo wolno on leciał i przerwałem to przez ESC.
I wtedy straciłem pierwotny profil…
A w Avaście ani w historii anie w kwarantannie nie ma nic z dnia w którym to się stało…
Jest szansa odzyskać ten profil? Lub co zrobić, żeby komputer był podobny jak ze stanu podczas którego miałem profil pierwotny


(Atis) #12

Utwórz nowy punkt przywracania: Tworzenie punktu przywracania
Pobierz, rozpakuj i uruchom Reprofiler2.zip
Rozłącz konto Monika z folderem C:\Users\TEMP - opcja Detach.
Połącz konto Monika z folderem C:\Users\Monika - opcja Assign.


(drdala) #13

Nie wiem jakim cudem ale utworzyłem punkt przywracania,
sciagnalem reprofiler2 rozpakowalem i uruchomilem ale pokazał info zebym lepiej sie zalogowal jako administrator wiec kliknalem "no"
uruchomilem ponownie komputer zalogowalem sie tak samo jak zawsze a zalogowalo mi sie na konto pierwotne czyli poprawne - te ktore chcialem.
co teraz robic? az boje sie teraz wylogowac zeby nie okazlo sie ze znowu na jakies tymczasowe…
co robic dobrzy ludzie?
sorry ze takie bledy lle pisze lewa reka a w drugiej trzymam synka:) pzdr


(drdala) #14

Co dziwne już jest ok za każdym razem. Nawet nie użyłem tak naprawdę reprofilera ale chyba jednak to on naprawił problem…


(drdala) #15

Malwarebytes analiza heurystyczna trwa już 8 h o co chodzi?
Dlaczego?
Raczej normalne to nie jest?
Co jest nie tak z tym komputerem i jak to naprawić


(Acorus) #16

Przeskanuj w trybie awaryjnym.


(Atis) #17

Najlepiej zainstaluj jeszcze więcej programów antywirusowych, bo teraz masz McAfee i Avast.
Odinstaluj McAfee Internet Security i użyj:
McAfee Consumer Product Removal (MCPR)


(drdala) #18

puściłem malwarebytes w awaryjnym i już godzinę jest analiza heurystyczna i i “sprawdzanie aktualizacji”


(drdala) #19

odinstalowałem mcafee uruchomiłem ponownie komputer i znów system uruchamia się z nie odpowiednim profilem:( tj tymczasowym
brak słów. Ogólnie widzę, że powoli chodzi ten system


(Atis) #20

Link dotyczy Windows 7, ale dokładnie taką samą metodę możesz zastosować w przypadku Windows 8:
https://support.microsoft.com/pl-pl/help/14039/windows-7-fix-corrupted-user-profile
Film instruktażowy w tym poradniku:
http://support.hp.com/us-en/document/c04399189